anonym.legal

By · Last updated 2026-06-05

Zurück zum BlogDSGVO & Compliance

Niederländische AP und die €290M Uber-Strafe...

Die niederländische AP verhängte die größte Geldstrafe für Datenübertragungen in der EU — €290M gegen Uber.

June 5, 20269 min Lesezeit
Dutch APBSN detectionUber GDPR fineNetherlands compliancedata transfer GDPR

Die Autoriteit Persoonsgegevens (AP) verhängte im August 2024 eine Geldbuße von 290 Millionen Euro gegen Uber. Grund war die Übermittlung von Fahrerdaten an US-Server ohne gültige Transfervereinbarung. Kein anderer DSGVO-Fall hat eine höhere Strafe für eine grenzüberschreitende Datenübertragung ergeben. Die AP bearbeitete 2023 außerdem über 21.400 Beschwerden. Das macht sie zu einer der aktivsten Datenschutzbehörden Europas.

Was die AP im Uber-Fall festgestellt hat

Uber sammelte Daten von Fahrern in den Niederlanden und Frankreich. Die Daten umfassten Standortverlauf, Ausweisdokumente, Lohnnachweise, Fahrtaufzeichnungen und Steuerunterlagen. All diese Daten wurden auf US-Server übertragen. Die AP stufte die verwendete Übertragungsmethode als unzulässig ein.

Drei Feststellungen lagen dem Urteil zugrunde:

  • Unzureichende Übertragungsmethode: Uber verwendete Binding Corporate Rules (BCRs). Die AP stellte fest, dass diese den Umfang und die Sensibilität der übertragenen Fahrerdaten nicht abdeckten.
  • Kein Transfer Impact Assessment (TIA): Uber konnte nicht nachweisen, dass das US-Recht die vereinbarten Transferschutzmaßnahmen unberührt lässt.
  • Sensible Daten durch Kombination: Standortdaten, Vergütung und Leistungsbewertungen ergeben zusammen ein detailliertes Bild jedes Fahrers. Die AP behandelte diese Kombination als äquivalent zu sensiblen personenbezogenen Daten.

Der Uber-Fall setzt eine klare Regel. Mitarbeiter- und Auftragnehmer-Daten, die in die USA übermittelt werden, benötigen dasselbe TIA und dieselben Zusatzmaßnahmen wie Verbraucherdaten.

AP-Durchsetzungsschwerpunkte für 2025

Aktualisiert für 2026

Die AP hat drei Bereiche benannt, die sie 2025 genau beobachtet.

Mitarbeiterüberwachung: Fernarbeits-Tracking-Tools sind das Hauptziel. Dazu gehören Produktivitätsprotokolle, Bildschirmaufnahmen, Tastatureingabe-Tracking und Fernstandort-Tools. Bevor Unternehmen ein solches Tool einsetzen, müssen sie dokumentieren, warum weniger eingreifende Alternativen abgelehnt wurden.

Grenzüberschreitende Datenübertragungen: Nach dem Uber-Urteil überprüft die AP Übertragungsmethoden. Unternehmen, die auf US-amerikanische, asiatische oder andere Dienste aus Ländern ohne Angemessenheitsbeschluss setzen, sind im Fokus. Jedes Unternehmen, das US-Softwaretools für HR, Projektarbeit oder Kundendaten nutzt, muss ein aktuelles TIA vorweisen.

Automatisierte Entscheidungen: KI-Kreditscoring, Einstellungsfilter und Leistungssysteme lösen Pflichten nach Artikel 22 aus. Die AP zielt auf Organisationen ab, die automatisierte Entscheidungen ohne echten menschlichen Überprüfungsschritt treffen. Sowohl Arbeitnehmer als auch Verbraucher müssen abgedeckt sein.

Die BSN: Ein rechtlich geschützter Identifikator

Die Burgerservicenummer (BSN) ist eine 9-stellige Bürgerdienstnummer. Sie wird mit dem Elfproef-Algorithmus (Elfenprüfung) validiert. So funktioniert die Prüfung: Multipliziere jede Ziffer mit einem Gewicht von 9 abwärts bis −1, addiere die Ergebnisse. Die Summe muss durch 11 teilbar sein.

Das BSN-Gesetz (Wet algemene bepalingen burgerservicenummer) schränkt die BSN-Nutzung auf bestimmte rechtliche Kontexte ein. Diese sind: Steuern, Gesundheitswesen, Behörden und Arbeitgeberabrechnung. Die Nutzung einer BSN außerhalb dieser Kontexte löst Durchsetzungsmaßnahmen nach dem BSN-Gesetz aus. Hinzu kommt eine DSGVO-Haftung.

Warum generische Tools BSNs übersehen: Viele NLP-Tools beinhalten keine Elfproef-Prüfung. Ohne sie wird jede 9-stellige Zeichenfolge als mögliche BSN markiert. Das erzeugt Fehlalarme in Finanz- und Verwaltungsdokumenten. Tippfehler-BSNs werden ebenfalls übersehen. Sie scheitern an der Prüfung, sehen aber wie ein gültiges Muster aus. Unsere Übersicht über EU-Steueridentifikatoren und PII-Erkennung vergleicht europäische ID-Formate im Detail.

NER für niederländische Texte

Das Niederländische (Nederlands) hat Merkmale, die bei auf Englisch trainierten Modellen Probleme verursachen.

Komposita: Niederländisch verbindet Wörter zu einem Begriff. Persoonsgegevens (personenbezogene Daten) und Burgerservicenummer (Bürger-ID-Nummer) sind jeweils ein einzelnes Wort. Modelle für Englisch teilen sie oft am falschen Punkt. Das zerstört die Entitätserkennung.

Namensendungen: Die Suffixe -je und -tje kommen in Vornamen vor — Annetje, Hansje. Namensmodelle müssen sowohl die Grundform als auch die Kurzform verarbeiten können.

Adressformate: Straßentypen sind Straat, Laan, Weg, Plein und Gracht. Postleitzahlen bestehen aus vier Ziffern und zwei Buchstaben (Beispiel: 1234 AB). Jede Postleitzahl entspricht einer einzelnen Straße und ist daher identifizierender als die meisten europäischen Pendants.

IBAN-Format: Niederländische IBANs sind 18 Zeichen lang: NL + 2 Prüfziffern + 4-buchstabiger Bankcode + 10-stellige Kontonummer. Das Land hat eine hohe Kartenzahlungsquote. Finanzielle Dokumente enthalten daher viele IBANs. Für Konfidenz-Scoring-Methoden über verschiedene ID-Typen hinweg, siehe binäre PII-Erkennung und Konfidenz-Scoring.

Technische Checkliste für die AP-Compliance

Um den aktuellen AP-Standards zu entsprechen, brauchen Datensysteme:

  1. BSN-Erkennung mit Elfproef — einfache Mustererkennung reicht nicht aus
  2. Niederländischsprachige NER — ein Modell wie spaCy nl_core_news verarbeitet Komposita und Kurzformen
  3. IBAN-Erkennung — formatbewusst, nicht generisch
  4. Aufzeichnungen zu Unterauftragsverarbeitern für alle grenzüberschreitenden Übertragungen
  5. TIAs für US-Anbieter — nach dem Uber-Urteil ein aktiver AP-Prüfungsschwerpunkt

Nach dem Uber-Urteil ist ein TIA für US-Anbieter eine Grundvoraussetzung, keine Best Practice. Eine vollständige Analyse des Urteils und seiner Transferfolgen bietet AP Uber-Buße und grenzüberschreitende Transferdurchsetzung.

Quellen

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.